Wartungsmodus

Der Wartungsmodus ist ein Feature, das es Community- oder Enklavenbesitzern ermöglicht, ihre Community oder Enklaven vorübergehend in einen "Wartungsmodus" zu versetzen, in dem Änderungen zulässig sind. Dieser Modus ermöglicht privilegierten Benutzern, bestimmte Änderungen an den zugrunde liegenden verwalteten Ressourcen vorzunehmen, die normalerweise durch Verweigerungszuweisungen geschützt sind. Dies trägt dazu bei, die Community- und Enklavenisolation und Netzwerkgrenze aufrechtzuerhalten.

Wartungsmodusoptionen

  • Off - Von Azure Enclave erstellte Ablehnungszuweisungen sind eingerichtet, um zugrunde liegende verwaltete Ressourcengruppen für eine Enklave oder Community zu schützen.
  • General– Die von Azure erstellte Verweigerungszuweisung Allow Dataplane Actions ermöglicht privilegierten Benutzern, bestimmte vorhandene Ressourcen nur in den zugrunde liegenden verwalteten Ressourcen zu ändern. Bei einer Enklave umfassen diese Vorgänge Ressourcen, die dem virtuellen Enklavennetzwerk beitreten und Privates DNS Zonendatensätze erstellen. Bei einer Community umfassen diese Vorgänge Änderungen an den Virtual WAN Ressourcen. Standardmäßig werden Communities und Enklaven im Modus Off bereitgestellt. Wählen Sie jedoch bei der Erstellung den Modus General aus und geben Sie geeignete Microsoft Entra ID-Identitäten an, um Änderungen an den geschützten Ressourcen zuzulassen.
  • Advanced– Die von Azure erstellte Verweigerungszuweisung wird vorübergehend entfernt, damit privilegierte Benutzer erhöhte Änderungen an den zugrunde liegenden verwalteten Ressourcen vornehmen können.

Begründungsoptionen

  • Netzwerk : Verwalten privilegierter oder benutzerdefinierter Änderungen an verwalteten Ressourcen.
  • Governance – Verwalten von Protokollierung, Richtlinien oder anderen governancebezogenen Änderungen.
  • Deaktiviert – Wartungsmodus nicht mehr erforderlich.

Community-Wartungsmodus

Der Community-Wartungsmodus wird verwendet, um verwaltete Ressourcen zu schützen, die die Community bilden, einschließlich Azure vWAN, Azure Firewall, Firewallrichtlinie und Log Analytics Arbeitsbereich. Ablehnungszuweisungen werden verwendet, um nicht autorisierte Aktionen über diese Ressourcen zu verhindern. Wenn der Wartungsmodus aktiviert ist, erhalten die angegebenen Prinzipale Ausschlüsse aus den Ablehnungszuweisungen, um privilegierte RBAC-Aktionen auszuführen.

Szenarien für den Community-Wartungsmodus

Zu den gängigen Anwendungsfällen für den Community-Wartungsmodus gehören:

  • Erstellen/Ändern von Tabellen für virtuelle Hubrouten zur Unterstützung komplexer Netzwerkkonfigurationen
  • Erstellen/Ändern von benutzerdefinierten virtuellen Hubs innerhalb der Community vWAN
  • Erstellen/Ändern einzelner Netzwerksicherheitsgruppenregeln, die für bestimmte Azure Dienste erforderlich sind
  • Erstellen von Ressourcen innerhalb der verwalteten Ressourcengruppe "Enclave", um private Netzwerke zu ermöglichen (z. B. Privates DNS Zonen, private Links usw.)

Community – Allgemeiner Wartungsmodus

Wenn für eine **Community **-Ressource der General Wartungsmodus aktiviert ist, werden die Wartungsmodus-principals (z. B. Benutzer oder Gruppen) aus der Deny All Ablehnungszuweisung für die von der Community verwaltete Ressourcengruppe ausgeschlossen.

Dadurch können die in den Sicherheitsprinzipalen des Wartungsmodus angegebenen Benutzer die entsprechenden Aktionen ausführen, die andernfalls durch die Ablehnungszuweisung Deny All blockiert würden. Die Allow Dataplane Actions Ablehnungszuweisungen gelten weiterhin für alle Prinzipale (einschließlich der Prinzipale im Wartungsmodus). Ein Benutzer ist möglicherweise immer noch durch seine zugewiesenen Rollen eingeschränkt.

Die folgenden Berechtigungen sind in der von der Community verwalteten Ressourcengruppe erlaubt, wenn der allgemeine Wartungsmodus aktiviert ist.

Community-Ablehnungszuweisung: Deny All

Operation Art der Maßnahme Explanation
* Maßnahme Alle Aktionen verweigern, außer den in dieser Tabelle angegebenen.
*/read NotAction Zulässig „Lesen“-Aktionen für alle Ressourcen zulassen
Microsoft.Resources/tags/* NotAction „Tags“-Aktionen für alle Ressourcen zulassen

Community – Erweiterter Wartungsmodus

Die folgenden Berechtigungen sind für die von der Community verwaltete Ressourcengruppe zulässig, wenn der erweiterte Wartungsmodus aktiviert ist.

Community-Verweigerungszuweisung: Allow Dataplane Actions

Operation Art der Maßnahme Explanation
* Maßnahme Alle Aktionen verweigern, außer den in dieser Tabelle angegebenen.
*/read NotAction Leseaktionen für alle Ressourcen zulassen
Microsoft.Insights/alertRules/* NotAction Alle Aktionen für "alertRules" zulassen
Microsoft.Support/* NotAction Alle Aktionen für „Support“ zulassen
Microsoft.Resources/tags/* NotAction „Tags“-Aktionen für alle Ressourcen zulassen
Microsoft.Network/azureFirewalls/networkRuleCollections/write NotAction Schreibaktionen für networkRuleCollections zulassen
Microsoft.Network/azureFirewalls/applicationRuleCollections/write NotAction Zulassen von „Schreibvorgängen“ für applicationRuleCollections
Microsoft.Network/azureFirewalls/natRuleCollections/write NotAction „Schreibvorgänge“ für natRuleCollections zulassen
Microsoft.Network/firewallPolicies/ruleGroups/write NotAction „Schreiben“-Aktionen für ruleGroups zulassen
Microsoft.Network/virtualHubs/write NotAction Zulassen von „Schreibvorgängen“ auf virtualHubs
Microsoft.Network/virtualWans/virtualHubs/read NotAction "Lesen"-Aktionen auf virtualHubs zulassen
Microsoft.Network/virtualWans/join/action NotAction Zulassen von "Join"-Aktionen für virtualWans
Microsoft.Network/virtualHubs/routeTables/write NotAction „Schreib“-Aktionen für Routingtabellen des virtuellen Hubs zulassen

Enklave Wartungsmodus

Der Wartungsmodus der Enklave wird verwendet, um verwaltete Ressourcen zu schützen, aus denen sich die Enklave zusammensetzt, einschließlich des Azure-Virtual Network, der Netzwerksicherheitsgruppen und des Log Analytics-Arbeitsbereichs. Ablehnungszuweisungen werden verwendet, um nicht autorisierte Aktionen über diese Ressourcen zu verhindern. Wenn der Wartungsmodus aktiviert ist, erhalten die angegebenen Prinzipale Ausschlüsse aus den Ablehnungszuweisungen, um privilegierte RBAC-Aktionen über die verwaltete Ressourcengruppe der Enklave auszuführen.

Szenarien für den Wartungsmodus der Enklave

Häufige Szenarien für die Verwendung des Enklaven-Wartungsmodus sind:

  • Ausführen von Subnetz-/vnet-Verknüpfungsvorgängen während der Workloadbereitstellung
  • Erstellen/Ändern einzelner Netzwerksicherheitsgruppenregeln, die für bestimmte Azure Dienste erforderlich sind
  • Erstellen von Ressourcen innerhalb der verwalteten Ressourcengruppe der Enklave, um private Netzwerke zu ermöglichen (z. B. Privates DNS Zonen, private Links usw.)

Enklave - Allgemeiner Wartungsmodus

Wenn für eine Enklaveressource der General Wartungsmodus aktiviert ist, sind die Wartungsmodus-principals (Benutzer, Gruppen oder Dienstprinzipale) von der Deny All Ablehnungszuweisung für die von der Enklave verwaltete Ressourcengruppe ausgenommen. Dadurch können die in den Sicherheitsprinzipalen des Wartungsmodus angegebenen Benutzer die entsprechenden Aktionen ausführen, die andernfalls durch die Ablehnungszuweisung Deny All blockiert würden. Die Allow Dataplane Actions Ablehnungszuweisungen gelten weiterhin für alle Prinzipale (einschließlich der Prinzipale im Wartungsmodus). Ein Benutzer ist möglicherweise immer noch durch seine zugewiesenen Rollen eingeschränkt.

Die folgenden Berechtigungen sind für die von der Enklave verwaltete Ressourcengruppe zulässig, wenn der allgemeine Wartungsmodus aktiviert ist.

Ablehnungszuweisung der Enklave: Deny All

Operation Art der Maßnahme Explanation
* Maßnahme Alle Aktionen verweigern, außer den in dieser Tabelle angegebenen.
*/read NotAction Leseaktionen für alle Ressourcen zulassen
Microsoft.Resources/tags/* NotAction „Tags“-Aktionen für alle Ressourcen zulassen

Enklave - Erweiterter Wartungsmodus

Die folgenden Berechtigungen sind für die von der Enklave verwaltete Ressourcengruppe erlaubt, wenn der erweiterte Wartungsmodus aktiviert ist.

Ablehnungszuweisung der Enklave: Allow Dataplane Actions

Operation Art der Maßnahme Explanation
* Maßnahme Alle Aktionen verweigern, außer den in dieser Tabelle angegebenen.
*/read NotAction Leseaktionen für alle Ressourcen zulassen
Microsoft.Insights/alertRules/* NotAction Alle Aktionen für "alertRules" zulassen
Microsoft.Resources/deployments/* NotAction Alle Aktionen für „Bereitstellungen“ zulassen
Microsoft.Support/* NotAction Alle Aktionen für „Support“ zulassen
Microsoft.Network/privateDnsZones/* NotAction Alle Aktionen für "privateDnsZones" zulassen
Microsoft.Network/privateDnsOperationResults/* NotAction Alle Aktionen für "privateDnsOperationResults" zulassen
Microsoft.Network/privateDnsOperationStatuses/* NotAction Alle Aktionen für "privateDnsOperationStatuses" zulassen
Microsoft.Network/virtualNetworks/join/action NotAction vNet-/Beitrittsvorgängen über das Enklaven-vNet zulassen
Microsoft.Network/virtuelleNetzwerke/Unternetze/beitreten/Aktion NotAction Subnetz-/Verknüpfungsvorgänge über das Enklaven-vNet zulassen
Microsoft.Authorization/policyExemptions/* NotAction Alle Aktionen für "policyExemptions" zulassen
Microsoft.Network/routeTables/routes/write NotAction "Schreiben"-Aktionen für Routentabellen virtueller Netzwerke zulassen

So verwenden Sie den Wartungsmodus

1. Aktivieren des Wartungsmodus während der Community- oder Enklavenerstellung

  1. Navigieren Sie zur Registerkarte "Wartungsmodus" auf der Community- oder Enklavenerstellungsmaske.
  2. Wählen Sie die Modusoption [Off / General / Advanced].
  3. Wählen Sie die Dienstprinzipale aus, die Sie einbeziehen möchten.
  4. Wählen Sie die Begründung aus, warum Sie den Wartungsmodus [OFF / NETWORKING / GOVERNANCE] eingeben.
  5. Überprüfen Sie die Community oder Enklave und erstellen Sie sie wie gewohnt.

2. Aktivieren des Wartungsmodus für eine vorhandene Community oder Enklave

  1. Navigieren Sie zu der Community oder Enklave, für die Sie den Wartungsmodus aktivieren.
  2. Navigieren Sie zur Registerkarte "Wartungsmodus".
  3. Wählen Sie die Modusoption [Advanced / General].
  4. Wählen Sie die Dienstprinzipale aus, die Sie einbeziehen möchten.
  5. Wählen Sie die Begründung aus, warum Sie den Wartungsmodus [NETWORKING / GOVERNANCE] eingeben.
  6. Bestätigen und speichern.

3. Ausführen von Wartungsaufgaben

  • Fahren Sie nach dem Aktivieren des Wartungsmodus mit Ihren Wartungsaufgaben fort, oder erstellen Sie bei Bedarf komplexe Arbeitslasten.

4. Wartungsmodus deaktivieren

  1. Navigieren Sie nach Abschluss Ihrer Aufgaben zurück zur Registerkarte "Wartungsmodus".
  2. Wählen Sie den OFF Modus aus.
  3. Bestätigen und speichern.

Bewährte Methoden

  • Nutzung einschränken: Stellen Sie sicher, dass der Wartungsmodus nur für vertrauenswürdige privilegierte Benutzer während geplanter Wartungsfenster aktiviert wird, und dass die Sicherheit und Isolation der Azure Enclave-Ressourcen aufrechterhalten werden.
  • Verstehen sie die Auswirkungen: Privilegierte Benutzer sollten die änderungen, die sie vornehmen, vollständig verstehen und Schritte zum Rückgängigmachen oder Beheben dieser Änderungen ausführen. Manuelle Änderungen an zugrunde liegenden verwalteten Ressourcen in einer Community oder Enklave während des Wartungsmodus verursachen möglicherweise unbeabsichtigte Abweichung in Ihrer Umgebung von idealen Zuständen.

Weitere Informationen